Multipart Form URL에 직접 제출

Question

Google은 사용자가 문서/파일을 Google 데이터베이스에 업로드 할 수있는 웹 기반 애플리케이션을 보유하고 있습니다. 문서/파일을 업로드하기 전에 우리는 http://virusscan.jotti.org/en과 같은 몇몇 웹 사이트에서 제공하는 무료 온라인 바이러스 검사 파일을 보내고 스캔 상태를 얻으려고합니다. 응답 상태가 OK 인 경우에만 데이터베이스에 업로드 할 수 있어야합니다. 여기 lindaocta.com/?cat=20

내 질문한다 :

는 난에 주어진 해결책을 시도

1) 내가 직접 문서/파일을 보내 내 응용 프로그램에서 처리하려면 어떻게 무료 온라인 바이러스 스캐너 웹 사이트 에 내 서버에 문서를 다운로드하지 않고.

2) 요즘 웹 응용 프로그램은 AJAX를 사용하여 개발되므로 페이지에서 응답을 점진적으로 업데이트 할 수 있습니다. 무료 온라인 바이러스 스캐너 웹 사이트에서 응답을 읽으려고하면 예상 한 바가 아닙니다. 이런 종류의 시나리오는 어떻게 해결합니까?

기술 OS : 레드햇 리눅스 ES5.0 자바 1.6 JSP 서블릿 톰캣 v6.0.10

Answer 1

1) 당신은 어떤 기회를하기 위해 적어도 프록시 서버를 통해 요청을 할 것이다 바이러스 스캐너의 응답을 검사 할 때 클라이언트가 AV 회사에 직접 게시하는 경우 AV 사이트가 타사 기반의 토큰 기반 토큰을 제공하지 않는 한 서블릿은 루프에서 제외됩니다. 무료 AV 사이트는 무엇입니까?

2) AJAX 또는 기타 방법에 관계없이 클라이언트 (브라우저) 측에서 보안 비즈니스 로직을 처리하지 마십시오. 공격자는 단순히 자바 스크립트를 수정하고 AV 스캐너 사이트에서 긍정적 인 응답을 위조 할 수 있습니다.

잠재적으로 안전하지 않을 수있는 파일을 서버에 다운로드하는 것을 왜 두려워합니까? 그냥 비공개로 탐색 할 수있는 특별한 디렉토리 (다른 프로그램이 설정 파일을 찾지 않는 곳)에 업로드하고, 바이러스를 검사하고, 통과하지 못하면 삭제하십시오. 실행을 절대로 시도하지 않고 설정 파일이나 커널 파일 등을 덮어 쓰지 않는다면 아마 충분할 것입니다.